Web Uygulama Ödül Avcılığı - Av Gözünden

Transcript

1. W E B U Y G U L A M

   A L A R I N D A Ö D Ü L AV C I L I Ğ I AV G Ö Z Ü N D E N G Ö K M E N G Ü R E Ş Ç İ

2. G Ö K M E N G Ü R E

   Ş Ç İ ▸ Bilgisayar Mühendisi @Namık Kemal Üniversitesi ▸ İşletme @Anadolu Üniversitesi ▸ Güvenlik meraklısı, düşkünü, araştırmacısı ▸ Webpen ▸ Digital Forensics & Incident Response (DFIR) ▸ Cypherpunk

3. H U N T I N G ✤ Yandex (x18)

   ✤ Google (x3) ✤ Zemana ✤ Card.com ✤ Nokia ✤ Microsoft (x4) ✤ Schuberg Philis ✤ Foursquare ✤ eBay ✤ Pinterest ✤ Barracuda Networks ✤ BlackBerry ✤ PayPal ✤ Apple ✤ Dropbox ✤ StopTheHacker (part of CloudFlare) ✤ Atlassian (x2) ✤ Mega.NZ (KimDotCom) ✤ Whitehat Security ✤ F-Secure ✤ Deutsche Telekom ✤ Amazon Web Services (AWS) ✤ vb.
4. None

5. Ö D Ü L AV C I L I Ğ

   I N E D İ R ? ▸ Bir uygulamadaki zafiyetlerin kapatılmak üzere ilk kez üreticisine / geliştiricisine bildirilmesi ve karşılığında çeşitli ödüllerin kazanılması ▸ Bir tür Responsible Disclosure ▸ Tişört, kupa, suluk, bileklik vb. eşantiyonlar ▸ Para

6. TA R İ H Ç E S İ

7. • Google: $6M+ (2010) • HackerOne: $6.6M (2013) • Facebook:

   $4.3M+ (2011) • Bugcrowd: ~$724K (2012) • Yandex: $120K+ (2011) • GitHub: ~$100K (2013)

8. – M I K E R E AV E Y,

   M I C R O S O F T “I don’t think that filing and rewarding point issues is a long-term strategy to protect customers”

9. B Y FA I L I N G T O

   P R E PA R E , Y O U A R E P R E PA R I N G T O FA I L B E N J A M I N F R A N K L I N

10. A N Y O N E W H O H

    A S N E V E R M A D E A M I S TA K E H A S N E V E R T R I E D A N Y T H I N G N E W. A L B E R T E I N S T E I N

11. G Ü V E N L İ K Z A

    F İ Y E T İ O L M AYA N U Y G U L A M A , S İ S T E M Y O K T U R ! S A D E C E H E N Ü Z K E Ş F E D İ L M E M İ Ş T İ R …

12. A S H I P I S A LWAY S

    S A F E AT T H E S H O R E — B U T T H AT I S N O T W H AT I T I S B U I LT F O R . A L B E R T E I N S T E I N

13. P E N T E S T

14. S A D E C E P E N T

    E S T E O D A K L A N M A P E N T E S T İ G E Ç T İ M D İ Y E S E V İ N M E

15. P E N T E S T L E R

    D E K I S I T L I B İ R Z A M A N D İ L İ M İ N D E K I S I T L I B İ R K A P S A M D A K I S I T L I B İ R E K İ P İ L E Ü R Ü N E , U Y G U L A M AYA O D A K L A N I L I R

16. Ö D Ü L AV C I L I Ğ

    I N D A İ S E S I N I R S I Z Z A M A N V E Ç O Ğ U N L U K L A G E N İ Ş B İ R K A P S A M VA R D I R

17. Ç Ü N K Ü D Ü N YA N

    I N H E R H A N G İ B İ R Y E R İ N D E K İ Y E T E N E K L İ B İ R K İ Ş İ U Y G U L A M A N D A H E R K E S İ N G Ö Z Ü N D E N K A Ç I R D I Ğ I B İ R Z A F İ Y E T İ B U L A B İ L İ R

18. ~ 9 AY C V S S > = 6

    . 0

19. P E N T E S T R A P

    O R U N D A N H ATA L A R I N I Ö Ğ R E N M E L İ S İ N V E O N L A R I E N M A K U L * Ş E K İ L D E Ç Ö Z M E L İ S İ N

20. S O N A Ş A M A D A

    YA Z I L I M I “ G Ü V E N L İ ” H A L E G E T İ R M E K T E N Ç O K B A Ş TA N İ T İ B A R E N S Ü R E Ç L E R İ N İ İ Y İ L E Ş T İ R M E Y E Ç A L I Ş

21. FA I L U R E I S S I

    M P LY T H E O P P O R T U N I T Y T O B E G I N A G A I N , T H I S T I M E M O R E I N T E L L I G E N T LY H E N R Y F O R D

22. Y O K S A ; P E N T

    E S T L E R İ N % 9 0 ’ I B O Ş A PA R A H A R C A M A K O L A B İ L İ R

23. Ü Ç Ü N C Ü B İ R Ş

    A H S I N S İ S T E M L E R İ N İ K U R C A L AYA C A Ğ I N A K E N D İ N İ A L I Ş T I R

24. – Z A N E L A C K E

    Y “It’s the Internet. You’re already getting pentested continuously, you’re just not receiving the report”

25. Ö D Ü L AV C I L I Ğ

    I P R O G R A M I B A Ş L AT T I Ğ I N D A T R A F İ Ğ İ N B İ R A N D A Ö N G Ö R E M E D İ Ğ İ N Ş E K İ L D E A R TA B İ L İ R B U N U N L A N A S I L B A Ş A Ç I K A C A Ğ I N I N H A Z I R L I Ğ I N I YA P M A L I S I N

26. “ D Ü Z G Ü N V E E

    T K İ N ” * B İ R G Ü V E N L İ K E K İ B İ O L U Ş T U R

27. H E R G E L E N R A

    P O R G Ü V E N L İ K Z A F İ Y E T İ O L M AYA B İ L İ R B U N U T E K R A R D O Ğ R U L AYA B İ L E C E K “ D Ü Z G Ü N V E E T K İ N ” * B İ R G Ü V E N L İ K E K İ B İ N O L M A L I

28. G E L E N R A P O R

    L A R I A N L AYA C A K , D O Ğ R U L AYA C A K V E G E R E K İ R S E Ç Ö Z Ü M Y O L L A R I N I G E L İ Ş T İ R İ C İ L E R E A N L ATA B İ L E C E K

29. H AT TA B E L K İ B E

    N Z E R İ Z A F İ Y E T L E R İ Ç İ N D A H A D E R İ N L E M E S İ N E S AV U N M A M E K A N İ Z M A L A R I O L U Ş T U R A B İ L E C E K

30. – C H R I S E VA N S

    , E X - G O O G L E “It’s a hard measurement to take, but we’re seeing a fairly sustained drop-off in the number of incoming reports we’re receiving for the Chromium program”

31. W E C A N N O T S O

    LV E O U R P R O B L E M S W I T H T H E S A M E T H I N K I N G W E U S E D W H E N W E C R E AT E D T H E M . A L B E R T E I N S T E I N

32. K A P S A M V E K U

    R A L L A R I N I İ Y İ B E L İ R L E

33. R A P O R L A R I N

    S İ Z E N A S I L G Ö N D E R İ L E C E Ğ İ N İ N V E A R D I N D A N A L I N A C A K A K S İ Y O N L A R I N P L A N I N I YA P

34. Ö D Ü L V E R M E K

    M E C B U R İ D E Ğ İ L D İ R A M A A R A Ş T I R M A C I Y I D A H A Ç O K M O T İ V E E D E R

35. A N C A K İ L K B A

    Ş L A R D A Ç O K FA Z L A R A P O R A L A C A Ğ I N I Z İ Ç İ N D A H A D Ü Ş Ü K M İ K TA R D A Ö D Ü L V E R M E K YA D A E Ş A N T İ Y O N V E R M E K D A H A Ç O K K U L L A N I L A N B İ R Y O L D U R

36. N E K A D A R Ç O K

    G Ü V E N L İ K Z A F İ Y E T İ O K A D A R Ç O K PA R A

37. N E K A D A R Ç O K

    D A H A İ Y İ Z A F İ Y E T D A H A Ç O K PA R A

38. N E K A D A R Ç O K

    S A D A K AT D A H A D A Ç O K PA R A

39. N E X T I A G R E E

    N E X T N E X T F I N I S H

40. T E B R İ K L E R !

    B A Ş A R I L I B İ R Ö D Ü L AV C I L I Ğ I P R O G R A M I O L U Ş T U R D U N U Z !

41. ¯\_(ϑ)_/¯ QA

42. – G Ö K M E N G Ü R

    E Ş Ç İ gokmen at gokmenguresci.com (PGP ve XMPP) PGP: 4FE1 1601 142A AE3D D90F 0398 D9AD C085 519C E6C4 OTR: 5AB42FB7 A5946E98 310907D6 D7373BEB CDF74652 Twitter @GokmenGuresci https://www.gokmenguresci.com